Thema: Fetchmail ...

[SiLæncer]

Fetchmail ist ein beliebter und verbreiteter Dienst zum lokalen Sammeln und Weiterverteilen von E-Mails von externen IMAP- und POP-Servern. Der Code, der in Fetchmail mit dem POP3-Protokoll umgeht, ist anfällig für einen Stack-basierten Buffer-Overflow, der möglicherweise die unautorisierte Ausführung von eingeschleustem Schadcode erlaubt.

Der Fehler liegt in einem Puffer fester Größe in dem POP3-Code, der die eindeutige Kennung (UID) der abzuholenden E-Mail aufnimmt. Wenn es gelingt, diese gezielt zu manipulieren, lässt sich damit dieser Puffer zum Überlaufen bringen. Die Fetchmail-Entwickler versuchten diese Lücke mit Version 6.2.5.1 zu schließen, allerdings hatte der Patch Nebenwirkungen, die sich wiederum durch manipulierte Mails für einen Denial-of-Service nutzen ließen. Der Patch führte neuen Code ein, der unter Umständen versuchte, Werte von Pointern auszulesen, die auf NULL zeigen. Da dies ein undefinierter Wert ist, führt der Vorgang zum Programmabsturz, der Fachbegriff hierfür ist NULL-Pointer-Dereferenz.

Die Version 6.2.5.2 der Software behebt diese Probleme. Betroffene Nutzer sollten umgehend auf die neue Version umsteigen. Die Linux-Distributoren veröffentlichen zurzeit ebenfalls aktualisierte Pakete, die dieses Loch stopfen.

Quelle und Links : http://www.heise.de/newsticker/meldung/62070

[SiLæncer]

In das Sammelprogramm für E-Mail-Konten Fetchmail hat sich seit Version 6.3.0 ein Fehler eingeschlichen, der bei der Verarbeitung von abgewiesenen Mails zum Absturz führt. Ein solcher Mail-Bounce kann beispielsweise durch fehlerhafte E-Mail-Adressen, zu große E-Mails oder zurückgewiesene Spam-Nachrichten hervorgerufen werden.

Die Entwickler haben auf der Website bereits eine fehlerbereinigte Version 6.3.2 zum Download bereit gestellt. Das Problem dürfte nur Fetchmail-Nutzer betreffen, die sich mit aktuellen Quellpaketen auf dem neuesten Stand halten. Aktuelle Distributionen setzen für ihre Binärpakete bisher noch fast ausschließlich auf Versionen der Serie 6.2, die den Programmierfehler nicht enthält.

Siehe dazu auch:

    * Security-Advisory der Fetchmail-Entwickler


Quelle und Links : http://www.heise.de/security/news/meldung/68835

[SiLæncer]

Die Entwickler des E-Mail-Tools Fetschmail haben eine fehlerbereinigte Version zur Verfügung gestellt.

Die neueste Ausgabe von Fetchmail behebt einen Fehler im Zusammenhang mit malloc(). Ab dieser Version berichtet das Programm SSL- und TLS-Informationen immer korrekt. Der IMAP-Client überspringt außerdem keine Nachrichten mehr, wenn Fetchmails idle im Gebrauch ist. SMTP versucht Fehler selbst zu beheben, indem die Software einen RSET-Befehl sendet. Darüber hinaus wurde ein Fehler behoben, der eine Warnung beim Kompilieren unter FreeBSD auslöste. Die Dokumentation brachten die Entwickler auf einen aktuellen Stand.

Fetchmail ist eine kostenlose, robuste und gut dokumentierte Software, um E-Mails abzuholen und weiterzuleiten. Das Programm unterstützt alle gängigen E-Mail-Protokolle. Dazu gehören POP2, POP3, RPOP, APOP, KPOP, IMAP, ESMTP ETRN, ODMR, SMTP, LMTP und lokale Agents.

Quelle : www.tecchannel.de